Steckbrief

preview-dsgvo

In Kraft getreten: 14. April 2016 (BDSG ab 2018 obsolete ?!)


Hintergrund:

Das Europaparlament hat die neue EU Datenschutz-Grundverordnung (DS-GVO) am 14. April 2016 verabschiedet, welche die umfangreichste Revision in den Bereichen Privatsphären- und Datenschutz der letzten Jahrzehnte darstellt. Die EU-Datenschutz-Grundverordnung mit ihren 99 Artikeln und 173 Erwägungsgründen ist deutlich umfangreicher als das Bundesdatenschutzgesetz.

Die beschlossene DS-GVO ist in zwei Jahren anwendbar. Dies bedeutet, dass auch Ihr Unternehmen ab Anfang 2018 die Regeln der neuen Datenschutz-Grundverordnung vollumfänglich erfüllen muss. Das ist ein sehr sportlicher Zeitrahmen und jedes Unternehmen sollte sich unverzüglich mit den neuen Anforderungen vertraut machen!

DS-GVO Bußgelder:

Die DS-GVO sieht Bussen von bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes vor, je nachdem welche Summe höher ist!

Was passiert mit dem BDSG?

In den Regelungsbereichen, in denen die Verordnung vorrangig gilt, wird das BDSG obsolet. Welche dies sind und ob es ein „Rest –BDSG“ geben wird, in welchem die Regelungen abgebildet werden, welche die Mitgliedsstaaten selbst regeln dürfen, ist noch nicht entschieden!

Fundamentale Veränderungen - was ist zu tun?

blank

>Datenschutz beim Design und als Standard

Die Datenschutz-Grundverordnung verpflichtet Unternehmen künftig neu auch dazu, den Nachweis zu erbringen, dass die getroffenen Massnahmen konstant überprüft und aktualisiert werden. Zusätzlich müssen Unternehmen nachweisen, dass Datenverarbeitungsvorgänge schon durch das Design angemessene Schutzmassnahmen aufweisen.

>Verfahrensverzeichnis

In diesem Zusammenhang wird auch die Pflicht zur Führung der Verarbeitungsübersicht neu geregelt. Hier gibt es eine erfreuliche Erleichterung, denn dieses ist zukünftig nur noch zu führen, wenn das entsprechende Unternehmen mind. 250 Mitarbeiter beschäftigt. Auch die Herausgabe an Jedermann (Stichw. „öffentliches Verfahrensverzeichnis“) entfällt zukünftig.

>Datenschutz-Folgenabschätzung

Die Datenschutz-Grundverordnung verpflichtet Unternehmen zur Durchführung einer Datenschutz-Folgenabschätzung hinsichtlich der geplanten Verarbeitungsvorgänge, falls es wahrscheinlich erscheint, dass die Verarbeitung hohe Risiken für die Privatsphäre zur Folge hat. Bei hohem Risiko muß vor Beginn der Verarbeitung die zuständige Datenschutzbehörde informiert werden! Unternehmen, die einen Datenschutzbeauftragten bestellt haben, haben diesen an der Durchführung der Datenschutz-Folgenabschätzung zu beteiligen

>Obligatorischer Datenschutzbeauftragter (DSB)

Die Rolle des Datenschutzbeauftragten darf von einem externen Dienstleistungsunternehmen ausgeübt werden. Nach derzeitigem Stand wird es also bei der Pflicht zur Bestellung eines Datenschutzbeauftragten bleiben sofern mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

>Verpflichtung zur Meldung von Datenschutzverletzungen

Im Rahmen der Datenschutz-Grundverordnung sind neu alle Unternehmen dazu verpflichtet, Datenschutzverletzungen zu melden. Unternehmen müssen der zuständigen Datenschutzbehörde im Falle einer meldepflichtigen Datenschutzverletzung innerhalb von 72 Stunden Meldung erstatten. Im Falle einer Datenschutzverletzung mit hohen Risiken für die Privatsphäre müssen auch die betroffenen Personen informiert werden.

Zusätzlich zu den hier umrissenen neuen Bestimmungen, bleiben zahlreiche der bereits unter dem alten Regelsystem geltenden (BDSG) Datenschutzbestimmungen in ähnlicher oder ergänzter Form bestehen.


EU-DSGVO Historie:

datenschutzgrundverordnung-historie

Offizielle Broschüre des BfDI: bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf

EU-DSGVO Gliederung zum Nachschlagen Vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. - Download (Word .docx): eu-datenschutzgrundverordnung-gliederung

Noch Fragen?

Kontaktieren Sie unseren Experten - Gerald Fehringer (gfr @ tiri.li)